Les correctifs de sécurité Magento ressemblent à des .shfichiers, comment appliquer ces correctifs sans accès SSH à leurs installations Magento?

De plus, ces correctifs sont-ils cumulatifs? IE: Seront-ils inclus dans la future version de Magento ou devront-ils être réappliqués?

Je pose cette question car je me suis connecté à mon panneau d'administration et j'ai reçu un avertissement de sécurité critique:

Téléchargez et implémentez deux correctifs de sécurité importants ( SUPEE-5344 et SUPEE-1533 ) à partir de la page de téléchargement de Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).

Si vous ne l'avez pas déjà fait, téléchargez et installez 2 correctifs précédemment publiés qui empêchent un attaquant d'exécuter du code à distance sur le logiciel Magento. Ces problèmes affectent toutes les versions de Magento Community Edition.

Un communiqué de presse de Check Point Software Technologies dans les prochains jours fera largement connaître l’un de ces problèmes, en alertant éventuellement les pirates informatiques qui pourraient tenter de l’exploiter. Assurez-vous que les correctifs sont en place à titre préventif avant la publication du problème.

et ceci à compter du 14 mai 2015 :

Il est important que vous téléchargiez et installiez un nouveau correctif de sécurité ( SUPEE-5994 ) à partir de la page de téléchargement de Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Appliquez immédiatement cette mise à jour critique pour protéger votre site contre l’exposition à de multiples vulnérabilités de sécurité affectant toutes les versions du logiciel Magento Community Edition. Veuillez noter que ce correctif doit être installé en plus du correctif récent de Shoplift (SUPEE-5344).

J'ai aussi reçu l'email suivant:

Cher marchand Magento,

Pour sécuriser davantage la plate-forme Magento contre les attaques potentielles, nous publions aujourd'hui un nouveau correctif (SUPEE-5994) comportant plusieurs correctifs de sécurité critiques. Le correctif résout de nombreux problèmes, notamment des scénarios dans lesquels des attaquants peuvent accéder aux informations des clients. Ces vulnérabilités ont été identifiées dans le cadre de notre programme de sécurité multipoint et nous n'avons reçu aucune information indiquant que des commerçants ou leurs clients seraient affectés par ces problèmes.

Toutes les versions du logiciel Magento Community Edition sont concernées et nous vous recommandons vivement de contacter votre partenaire de solution ou votre développeur pour déployer immédiatement ce correctif critique. Veuillez noter que ce correctif doit être installé en plus du correctif récent de Shoplift (SUPEE-5344). De plus amples informations sur les problèmes de sécurité sont disponibles dans l’Annexe du Guide de l’utilisateur de Magento Community Edition.

Vous pouvez télécharger le correctif à partir de la page de téléchargement de Community Edition. Recherchez le correctif SUPEE-5994. Le correctif est disponible pour Community Edition 1.4.1– 1.9.1.1.

Assurez-vous d’abord d’implémenter et de tester le correctif dans un environnement de développement pour vous assurer qu’il fonctionne comme prévu avant de le déployer sur un site de production. Des informations sur l'installation de correctifs sur Magento Community Edition sont disponibles en ligne.

Merci de votre attention sur cette question.

MISE À JOUR DU 7 JUILLET À 2015

7 juillet 2015: Nouveau correctif de sécurité Magento ( SUPEE-6285 ) - Installation immédiate
Aujourd'hui, nous fournissons un nouveau correctif de sécurité ( SUPEE-6285 ) qui corrige les vulnérabilités de sécurité critiques. Ce correctif est disponible pour Community Edition 1.4.1 à 1.9.1.1 et fait partie du code principal de notre dernière version, Community Edition 1.9.2, disponible au téléchargement aujourd'hui. VEUILLEZ NOTER: vous devez d'abord mettre en œuvre SUPEE-5994 pour vous assurer que SUPEE-6285 fonctionne correctement. Téléchargez Community Edition 1.9.2 ou le correctif à partir de la page de téléchargement de Community Edition: https://www.magentocommerce.com/products/downloads/magento/

MISE À JOUR 4 AOÛT - 2015

4 août 2015: Nouveau correctif de sécurité Magento ( SUPEE-6482 ) - Installation immédiate
Aujourd'hui, nous fournissons un nouveau correctif de sécurité ( SUPEE-6482 ) qui résout 4 problèmes de sécurité. deux problèmes liés aux API et deux risques de scriptage intersite. Le correctif est disponible pour Community Edition 1.4 et les versions ultérieures et fait partie du code principal de Community Edition 1.9.2.1, disponible au téléchargement aujourd'hui. Avant d'implémenter ce nouveau correctif de sécurité, vous devez d'abord implémenter tous les correctifs de sécurité précédents. Téléchargez Community Edition 1.9.2.1 ou le correctif à partir de la page de téléchargement de Community Edition à l' adresse https://www.magentocommerce.com/products/downloads/magento/.

MISE À JOUR DU 27 OCT - 2015

27 octobre 2015: Nouveau correctif de sécurité Magento ( SUPEE-6788 ) - Installation immédiate
Aujourd'hui, nous publions un nouveau correctif ( SUPEE-6788 ) et Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 pour résoudre plus de 10 problèmes de sécurité, notamment Exécution de code à distance et vulnérabilités de fuite d'informations. Ce correctif n’est pas associé au problème de malware Guruincsite . Veillez à tester d'abord le correctif dans un environnement de développement, car il peut affecter les extensions et les personnalisations. Téléchargez le correctif à partir de la page de téléchargement de Community Edition / Portail de support Enterprise Edition et en savoir plus à l' adresse http://magento.com/security/patches/supee-6788 .

MISE À JOUR JAN 20 - 2016

Important: Nouvelle mise à jour de sécurité ( SUPEE-7405 ) - 1/20/2016
Nous publions aujourd'hui une nouvelle mise à jour ( SUPEE-7405 ) et Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 afin d'améliorer la sécurité des sites Magento. . Il n'y a pas d'attaque confirmée liée aux problèmes de sécurité, mais certaines vulnérabilités peuvent potentiellement être exploitées pour accéder aux informations client ou prendre le contrôle de sessions d'administrateur. Vous pouvez télécharger le correctif et la version à partir de la page de téléchargement de Community Edition / MonCompte et en savoir plus à l' adresse https://magento.com/security/patches/supee-7405 .

MISE À JOUR DU 23 FÉVRIER 2016

Des versions mises à jour du correctif SUPEE7405 sont maintenant disponibles. Les mises à jour ajoutent la prise en charge de PHP 5.3 et résolvent les problèmes d'autorisations de téléchargement de fichiers, de fusion de paniers et d'API SOAP rencontrés avec la version d'origine. Ils ne traitent pas de nouveaux problèmes de sécurité. Vous pouvez télécharger le correctif et la version à partir de la page de téléchargement de Community Edition / MonCompte et en savoir plus à l' adresse https://magento.com/security/patches/supee-7405 .

Application manuelle de correctifs sans accès SSH

Vous avez un bon point ici. Les correctifs sont fournis sous forme de .shfichiers et il n’existe pas de solution proposée par Magento pour les sites Web FTP.

Je suggère que l'on copie le code de son site Web dans un environnement local via FTP (vous l'auriez probablement déjà). Puis appliquez le correctif en exécutant le .shfichier.

Maintenant, vous devez savoir quels fichiers vous devez télécharger à nouveau. Si vous voulez ouvrir le .shfichier patch, vous verrez qu'il se compose de deux sections:

1. Code shell Bash pour appliquer le patch. Ce code est général pour chaque patch.
2. Le correctif actuel sous la forme d'un format de correctif unifié . Cela indique uniquement les lignes des fichiers qui ont été modifiés (y compris certaines lignes de contexte). Cela commence en dessous de la ligne__PATCHFILE_FOLLOWS__

Dans la deuxième section, vous pouvez savoir quels fichiers ont été / sont affectés par le correctif. Vous devez télécharger à nouveau ces fichiers sur votre FTP ou ... vous pouvez simplement tout télécharger.

Application manuelle sans bash / shell

1. Si vous ne pouvez pas exécuter de .shfichiers (sous Windows), vous pouvez extraire la deuxième section du correctif (le correctif unifié ) et l'appliquer manuellement à l' aide d'un outil de correction (ou, par exemple, via PHPStorm ).
2. Le site Web Magentary.com fournit des fichiers ZIP pour chaque version de Magento contenant uniquement les fichiers corrigés.

Correctifs dans les versions actuelles et futures?

Les correctifs actuellement publiés s’appliquent à toutes les versions déjà publiées. Bien entendu, Magento pourrait-il publier une nouvelle version (majeure ou mineure). Ensuite, ils contiendront tous les correctifs de sécurité car Magento appliquera également les correctifs à leur base de code de développement naturellement (ces correctifs proviennent même de cette base de code;)).

MISE À JOUR :
Chaque dernier correctif, Magento a également publié de nouvelles versions de Magento CE et EE contenant déjà le dernier correctif spécifique. Voir l' onglet Release Archive sur la page de téléchargement de Magento .

Consultez cette fiche, maintenue par JH, pour quels correctifs installer pour quelle version de Magento CE et EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

Malheureusement, il n’existe aucun moyen «facile» d’installer ces correctifs sans accès au shell, mais il existe deux méthodes.

Installez le correctif via PHP

1. Utilisez un client FTP pour télécharger le correctif spécifique à la racine de votre dossier Magento.
2. Créez un fichier PHP appelé applypatch.php qui exécutera le correctif à votre place et téléchargez-le à la racine de votre dossier Magento. Assurez-vous d'utiliser le bon nom de correctif ici, si vous n'utilisez pas le correctif pour la version 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

3. Visitez le fichier à l' adresse http://votre.domaine.com/applypatch.php et vérifiez si le résultat est conforme à vos attentes.

Installer le correctif manuellement

Le fichier .sh contient un correctif 'DIFF'. Celles-ci montrent quelles lignes ont été supprimées et ajoutées. Bien que je ne le conseille pas, vous devriez pouvoir télécharger manuellement les fichiers via FTP, éditer ces fichiers dans l'éditeur de votre choix, puis les remettre à nouveau via FTP. Le format n'est pas trop difficile à interpréter , vous pouvez donc le faire pour tous les fichiers et cela ne devrait pas prendre plus de quelques minutes.

Dans mon cas, j'utilise bitbucket pour la maintenance de la version et ne diffuse mes modifications que via bitBucket.

Donc, ce que je fais quand j'applique les correctifs, c'est d'appliquer ce correctif dans mon système local et de tester toutes les choses. que mon site fonctionne.

et poussez tous les chnages vers bitbucket et sur le site actif, retirez tous les changements et mon patch est appliqué

Au cas où ce que vous feriez si vous n’avez pas accès à ssh est

1) Appliquez le correctif en local et transmettez les modifications au bitbucket. Bitbucket vous dit quels fichiers ont été modifiés depuis le dernier commit.

2) téléchargez ce fichier manuellement via FTP et votre patch est appliqué.

Application des correctifs Magento via FTP / sFTP ou FileManager / File Upload.

Méthode 1: -

Pour appliquer les correctifs de cette manière, nous remplaçons simplement les fichiers modifiés. De cette façon, vous ne pouvez pas utiliser aveuglément si vous ou vos développeurs avez modifié des fichiers de base de Magento (ce qui est un gros non-non, d'ailleurs). De telles modifications doivent être appliquées à nouveau aux fichiers corrigés, sinon vous perdez ces modifications.

veuillez visiter les URL ci-dessous pour télécharger les correctifs suivants: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Méthode 2: -

Téléchargez le fichier de correctif sur https://magento.com/tech-resources/download#download1972 Téléchargez les fichiers de correctif à la racine de magento.

Créez un fichier avec le nom patch.php, écrivez-y le code suivant,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Vous exécutez patch.php à partir du navigateur.

Si vous obtenez une erreur comme celle-ci,

"Erreur! Certains outils système requis, utilisés dans ce script sh, ne sont pas installés; le (s) outil (s)" patch "est (sont) manquant (s), veuillez l'installer.

Cela signifie que les outils système ne sont pas installés sur votre serveur pour exécuter le script sh.

Je ne pense pas que ce soit possible sans accès SSH mais vous pouvez toujours créer un compte SSH sur cpanel ou sur tout autre panneau que vous avez et il y a de grandes chances que vous trouviez les tutoriels pour la création d'un compte SSH par votre hébergeur. Société vient de google le "nom de votre société d'hébergement + ssh créant".

Téléchargez les patchs (en fait, 1 seulement, 1 étant destiné à EE et l'autre à CE).

sauvegarde cp -r public_html (remplace public_html par une installation complète de magento)

Envoyez d'abord le patch par FTP sur le répertoire de sauvegarde, puis vérifiez tout en ok en l'exécutant sur la sauvegarde.

Tout va bien? Envoyez le patch par FTP à votre installation actuelle

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

le guide indique également "Pour réappliquer la propriété des fichiers modifiés par le correctif: Recherchez l'utilisateur du serveur Web: ps -o" commande de groupe d'utilisateurs "-C httpd, apache2. La valeur de la colonne USER est le nom d'utilisateur du serveur Web. En règle générale, L'utilisateur du serveur Web Apache sous CentOS est Apache et l'utilisateur du serveur Web Apache sous Ubuntu est www-data.En tant qu'utilisateur disposant de privilèges root, entrez la commande suivante dans le répertoire d'installation de Magento: chown -R serveur-serveur-Web. Par exemple, sous Ubuntu où Apache s’exécute généralement en tant que www-data, entrez chown -R www-data "

en exécutant la commande ps en tant que root, je n'ai obtenu que root en tant qu'utilisateur et ai exécuté chown -R root et ai déréglé mon installation, je l'ai exécuté à nouveau avec le nom d'utilisateur du compte utilisateur sur lequel il était installé et tout allait bien